Настройка VLAN на гостевом сервере Win Server 2008 VMware
У нас есть хост Windows Server 2008 на VMware ESXi 4, и мы хотим изолировать его от остальной части сети. То есть я не хочу, чтобы трафик с Windows Server 2008 был разрешен в нормальной сети. Я думал, что VLAN сделает это, если настроен правильно.
В это вовлечено предоставление доступа через VPN от брандмауэра Endian (Linux) к этому хосту.
Кроме того, между брандмауэром и хостом VMware находятся два коммутатора Cisco (LinkSys ребрендинг!) SG 200-26. Хост VMware использует две сетевые карты в конфигурации аварийного переключения.
На мой взгляд, возникает несколько проблем:
- Как VLAN распознается VMware? Как настроить VMware?
- Как хост Windows Server распознает VLAN?
- Какая конфигурация коммутатора необходима?
- Как правильно изолирована VLAN? (Я думал, что соответствующие правила брандмауэра сделают это.)
- Как настроить брандмауэр, не влияя на другой трафик?
- Как настроить Windows Server, не затрагивая другой гостевой трафик?
Мое первоначальное исследование показало, что Endian поддерживает VLAN и интерфейсы VLAN, хотя я еще не пробовал. Коммутатор Cisco поддерживает VLAN, но я не знаю, как он будет работать с несколькими VLAN на одном порту. VMware ESXi поддерживает VLAN, но только на уровне хоста; Я не вижу, где можно разместить одного гостя в отдельной VLAN.
ОБНОВЛЕНИЕ: Из моего чтения кажется, что мне нужно пометить кадры VLAN от брандмауэра Endian к подключенному коммутатору, затем к другому коммутатору и на обеих сетевых платах, используемых VMware. Я не уверен, что все они будут поддерживать помеченные кадры VLAN. Если я пометил кадры VLAN, то они должны проходить по одним и тем же проводам между хостом VMware ESXi и межсетевым экраном Endian. Таким образом, хитрость заключается в получении гостя Windows Server 2008 только в одной VLAN.
Я нашел другой вопрос с ответом, который прекрасно объясняет VLAN, а также другой ответ, который объясняет, когда использовать VLAN.
Я также обнаружил некоторое обсуждение, которое предполагает, что Endian не может поддерживать помеченные и нетегированные кадры VLAN на одном и том же порту одновременно. Эта конфигурация звучит так, как будто она вызывает проблемы.
Я подозреваю, что весь мой трафик в настоящее время не маркирован, но я точно не знаю.
1 ответ
Есть много способов сделать это, это зависит от того, насколько параноиком вы хотите быть.
Если вы уже подключаете VLAN к одной или нескольким группам портов на виртуальном коммутаторе vSwitch и готовы жить с безопасностью разделения VLAN, вы можете использовать самый простой способ. Это просто для создания новой группы портов, присвоения ей соответствующего идентификатора VLAN и добавления vNIC виртуальной машины W2K8 в эту группу портов - и все, я уже говорил, это было легко.
Если у вас уже есть vSwitch/Port Group "VLAN-gnostic", которую использует все остальное, просто введите соответствующий "VLAN ID" по умолчанию в настройке VLAN этой группы портов, это не должно влиять на существующие виртуальные машины. Затем просто создайте новую группу портов для виртуальной машины W2K8, назначьте ей правильный идентификатор VLAN и укажите vNIC виртуальной машины W2K8 на этой новой группе портов.
Если вы хотите разделить физический кабель, просто подключите запасной сетевой адаптер хоста ESXi к коммутатору, настройте коммутатор для подключения к новой VLAN виртуальной сети W2K8, затем создайте новый vSwitch, связанный с этим сетевым адаптером, а затем создайте новую группу портов с новым набором идентификаторов VLAN ID. как VLAN этой группы портов и направить vNIC виртуальной машины W2K8 на эту новую группу портов и ее базовый новый vSwitch.
Если вы хотите что-то еще, вы должны сообщить нам больше.
Да, и виртуальная машина W2K8 является гостем, а не хостом, ESXi - хостом.